Методические указания к выполнению лабораторных работ (1086236), страница 9
Текст из файла (страница 9)
Три точки зрения на разрешения общего ресурса
Важно понять точки зрения, с которых разрешения общего ресурса рассматриваются реальными системами Microsoft.
Ограничения разрешений общего ресурса
Разрешения общего ресурса имеют ряд существенных ограничений.
-
Область действия. Разрешения общего ресурса применяют только для ограничения удаленного доступа через службу Клиент для сетей Microsoft (Client for Microsoft Networks); они не распространяются ни на локальный доступ, ни на доступ через службы терминалов, ни на любые другие типы удаленного доступа, например по протоколам HTTP, FTP, Telnet и т. п.
-
Репликация. Разрешения общего ресурса игнорируются Службой репликации файлов (File Replication Service, FRS).
-
Устойчивость. Разрешения общего ресурса не сохраняются при архивировании или восстановлении тома данных.
-
Хрупкость. Разрешения общего ресурса теряются при перемещении или переименовании папки.
-
Недостаточно детальный контроль. Разрешения общего ресурса не поддерживают тонкую настройку; они предлагают один шаблон разрешений, который применяется ко всем файлам и папкам внутри общей папки. Нельзя расширить или ограничить доступ к файлам и папкам внутри общей папки без применения разрешений NTFS.
-
Аудит. Нельзя настроить аудит на основе разрешений общего ресурса.
-
NTFS — более продуманная система. Разрешения NTFS обеспечивают надежный, безопасный способ управления доступом к файлам и папкам. Разрешения NTFS реплицируются, сохраняются при архивировании и восстановлении тома данных, подлежат аудиту и обеспечивают чрезвычайную гибкость и удобство управления.
-
Сложность. При назначении разрешений общего ресурса вместе с разрешениями NTFS вступает в силу наиболее строгий Набор разрешений, в результате усложняется анализ действующих разрешений и устранение неполадок доступа к файлам.
Использование разрешений общего ресурса для решения реальных задач
Из-за этих ограничений разрешения общего ресурса применяются только в очень редких случаях, когда том отформатирован под файловую систему FAT или FAT32, которые не поддерживают разрешения NTFS. Иначе, правило «реального мира» звучит так: предоставьте группе Все (Everyone) разрешение общего ресурса Полный доступ (Full Control), а для ограничения доступа к содержимому общей папки используйте разрешения NTFS.
Microsoft ужесточает разрешения общего ресурса
До появления Windows XP группа Все (Everyone) по умолчанию получала разрешение общего ресурса Полный доступ (Full Control). Это стандартное разрешение позволяло легко придерживаться политики «реального мира»: администраторы не изменяли разрешения общего ресурса и сразу настраивали разрешения NTFS. В Windows Server 2003 по умолчанию группе Все (Everyone) назначается разрешение Чтение (Read), а группе Администраторы (Administrators) — Полный доступ (Full Control). Это проблематично, поскольку теперь обычным пользователям во всем дереве общей папки разрешено только чтение.
Microsoft преследовала при этом благородную цель: повысить безопасность, чтобы общие ресурсы изначально были менее уязвимы. После создания общей папки администраторы часто забывали назначить разрешения NTFS, и ресурс оставался «слишком доступным». Назначая общей папке разрешение Чтение (Read), Microsoft помогает администраторам избежать этой проблемы. К сожалению, большинство организаций избегают разрешений общего ресурса из-за связанных с ними ограничений и для защиты ресурсов используют только разрешения NTFS. Теперь администраторам нужно не забыть о настройке разрешений общего ресурса и явно разрешить группе Все (Everyone) полный доступ.
Существует третья точка зрения на разрешения общего ресурса. Хотя разрешения общего ресурса обычно реализуются в соответствии со строгой политикой организации (всем предоставлен полный доступ), сам факт, что когда-нибудь значение по умолчанию может измениться и что данные могут быть сохранены на томе FAT или FAT32, где разрешения общего ресурса являются единственным способом управления доступом, означает, что для сдачи экзамена вы должны разбираться в этой теме. Особое значение имеют сценарии с применением и разрешений общего ресурса, и разрешений NTFS, где при обращении к ресурсу через службу Клиент для сетей Microsoft (Client for Microsoft Networks) в действие вступает наиболее жесткий набор разрешений доступа.
Так что уделите внимание разрешениям общего ресурса. Изучите их нюансы. Научитесь определять действующие разрешения в сочетании с разрешениями NTFS. Затем настройте общие папки согласно принципам вашей организации, которые, вероятно, предполагают изменение стандартного разрешения общего ресурса в Windows Server 2003 и назначение группе Все (Everyone) разрешение Полный доступ (Full Control).
Управление сеансами пользователей и открытыми файлами
Иногда сервер для обслуживания приходится переводить в автономный режим, например для архивирования или выполнения других задач, требующих, чтобы пользователи были отключены, а файлы закрыты и не заблокированы. В таких случаях используется оснастка Общие папки (Shared Folders).
Узел Сеансы (Sessions) оснастки Общие папки (Shared Folders) позволяет отследить количество пользователей, подключенных к определенному серверу и при необходимости отключить их.
Узел Открытые файлы (Open Files) содержит список всех открытых файлов и блокировок файлов для одного сервера и позволяет отключить все открытые файлы.
Перед выполнением этих операций полезно известить пользователя об отключении, чтобы он успел сохранить данные. Вы можете отправить текстовое сообщение, щелкнув правой кнопкой узел Общие папки (Shares) и выбрав соответствующую команду. Сообщения пересылаются службой Messenger, которая использует имя компьютера, а не пользователя. По умолчанию служба Messenger в Windows Server 2003 отключена; ее необходимо настроить для автоматического или ручного запуска перед передачей сообщения.
Резюме
-
Проводник Windows можно использовать для настройки общих папок только на локальном томе. То есть, чтобы использовать Проводник для управления общими папками, нужно войти на сервер локально (интерактивно) или подключиться к нему с помощью службы Дистанционное подключение к рабочему столу (Remote Desktop) (фактически, средствами служб терминалов).
-
Оснастка Общие папки (Shared Folders) позволяет управлять общими ресурсами на локальном или удаленном компьютере.
-
Скрытые общие ресурсы, которые не видны в списке обозревателя, можно создать, добавив знак доллара ($) к имени ресурса. Для подключения к таким ресурсам используют формат UNC: \\имя_сервера\имя_общего_ресурса$.
-
Разрешения общего ресурса определяют действующие эффективные разрешения для всех файлов и папок, к которым обращаются через подключения службы Клиент для сетей Microsoft (Client for Microsoft Networks).
-
Разрешения общего ресурса не распространяются на доступ через службы терминалов, IIS, локальный (интерактивный) и другие типы доступа.
Настройка разрешений файловой системы
Серверы Windows поддерживают детализированный механизм управления доступом к файлам и папкам — разрешения NTFS. Разрешения доступа к ресурсам хранятся в виде записей управления доступом (access control entries, АСЕ) в таблице ACL, которая является частью дескриптора безопасности каждого ресурса. При обращении к ресурсу маркер безопасности доступа пользователя, содержащий идентификаторы защиты (security identifier, SID) учетной записи пользователя и групп, членом которых тот является, сравнивается с идентификаторами SID в АСЕ-записях таблицы ACL. Этот процесс авторизации практически не изменился со времен Windows NT Тем не менее специфика настройки доступа изменялись с каждой версией Windows.
Настройка разрешений
Проводник Windows является наиболее распространенным средством управления разрешениями доступа к ресурсам, как на локальном томе, так и на удаленном сервере. В отличие от общих папок, Проводник позволяет настраивать разрешения локально и удаленно.
Редактор таблицы управления доступом
Как и в предыдущих версиях Windows, для настройки безопасности файлов и папок на любом томе NTFS нужно щелкнуть ресурс правой кнопкой, в контекстном меню выбрать Свойства (Properties) [или Общий доступ и безопасность (Sharing And Security)] и перейти на вкладку Безопасность (Security). Открывшееся диалоговое окно может называться по-разному: Разрешения (Permissions), Параметры безопасности (Security Settings), вкладка Безопасность (Security) или Редактор таблицы управления доступом (редактор ACL). Независимо от названия оно выглядит одинаково. Пример вкладки Безопасность (Security) окна свойств папки Docs см. на рис.1.
Рис.1 Редактор ACL в окне свойств папки Docs
Таблица 1. Разрешения доступа к папкам NTFS
Тип доступа | ОПИСАНИЕ |
| Список содержимого папки | Просмотр имен файлов и подпапок |
Чтение | Просмотр файлов и подпапок, их разрешений, атрибутов и владельцев |
| Запись | Создание новых файлов и подпапок, изменение атрибутов, просмотр владельцев и разрешений |
| Чтение и выполнение | Перемещение через папку для доступа к другим файлам и папкам, выполнение действий, допустимых в Обзоре папок и Чтение |
| Изменить | Удаление папок и действия, допустимые Чтение и выполнение и |
| Полный доступ | Изменение разрешений, удаление подпапок и файлов, захват права владения и выполнение действий, допустимых любыми другими разрешениями NTFS |
Таблица 2. Доступ к файлам NTFS
| Тип доступа | Описание |
| Чтение | Просмотр файлов, их разрешений, атрибутов и владельцев |
| Запись | Перезапись файлов, изменение атрибутов, просмотр содержимого, владельцев и разрешений |
| Чтение и выполнение | Запуск приложений, выполнение действий, допустимых Чтение |
| Изменить | Изменение и удаление файлов и действия, допустимые Запись и Чтение и выполнение |
| Полный доступ | Изменение разрешений, удаление файлов, захват права владения и выполнение действий, допустимых любыми другими разрешениями NTFS |
До появления Windows 2000 разрешения были довольно простыми, но в Windows 2000 и последующих версиях Microsoft предоставила более гибкие и мощные способы управления доступом к ресурсам. Мощь добавила сложности, и теперь редактор ACL состоит из трех диалоговых окон.
Первое диалоговое дает общую картину настроек безопасности и разрешений для ресурса и позволяет выбрать отдельную учетную запись, для которой определен доступ, чтобы просмотреть шаблоны разрешений, назначенные этому пользователю, группе или компьютеру. Каждый шаблон в этом окне — совокупность разрешений, которые вместе обеспечивают некий типичный уровень доступа. Например, чтобы пользователь мог прочитать файл, необходимо предоставить несколько разрешений низкого уровня. Чтобы скрыть эту сложность, вы можете применить шаблон Чтение и выполнение (Read & Execute), а ОС сама настроит нужные разрешения доступа к файлу или папке.
Чтобы более подробно изучить данную таблицу ACL, щелкните кнопку Дополнительно (Advanced), откроется второе окно редактора ACL — Дополнительные параметры безопасности для Docs (Advanced Security Settings For Docs), показанное на рис. 2. Здесь перечислены конкретные записи управления доступом, назначенные данному файлу или папке. Сведения в этом перечне максимально приближены к реальной информации, которая хранится в самой таблице ACL. Второе диалоговое окно позволяет также настраивать аудит, управлять правами владения и определять действующие разрешения.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
